Vendor risk checklist: co chtít od klíčových dodavatelů
V únoru 2020 byl napaden dodavatel IT služeb pro americká potrubní centra.
Autor: Splnit.eu, Redakce Splnit.eu
Kdo je „bezpečnostně významný dodavatel"?
Ne každý dodavatel potřebuje bezpečnostní prověření. Zaměřte se na ty, kteří splňují alespoň jedno z následujících:
**Kategorie A — Kritičtí dodavatelé (nejvyšší priorita)**
*Příklady: AWS/Azure/GCP, hosting provider, záložní MSP, poskytel SIEM/SOC, subdodavatel vývoje s přístupem do produkce*
**Kategorie B — Důležití dodavatelé (střední priorita)**
*Příklady: CRM systém, HR platforma, e-mailový provider, VPN provider, nástroje pro videokonference*
**Kategorie C — Standardní dodavatelé (základní prověření)**
*Příklady: tiskárny, kancelářské potřeby, kurýrní služby*
**Pravidlo palce:** Pokud kompromitace nebo výpadek tohoto dodavatele může způsobit bezpečnostní incident na vaší straně nebo u vašich zákazníků — jde o Kategorii A nebo B.
- Mají přímý přístup k vašim produkčním systémům, síti nebo zákaznickým datům
- Poskytují klíčovou část vaší regulované služby (jejich výpadek = výpadek vaší služby)
- Zpracovávají osobní data vašich zákazníků nebo zaměstnanců
- Jsou cloud provider nebo MSP, na němž vaše infrastruktura stojí
- Mají přístup k interním systémům nebo datům, ale ne přímo k produkci nebo zákaznickým datům
- Poskytují software, který je součástí vašeho produktového stacku
- Zpracovávají interní data firmy (HR, účetnictví, komunikace)
- Nemají přístup k citlivým systémům ani datům
- Poskytují komoditní produkty nebo služby
Co zjistit před podpisem smlouvy — tiered přístup
Pro Kategorii A (kritičtí dodavatelé)
**Bezpečnostní certifikace a audity**
**Správa přístupů k vašim systémům**
**Incident response a notifikace**
**Kontinuita a dostupnost**
**Sub-zpracovatelé a třetí strany**
- [ ] Má dodavatel platnou certifikaci ISO/IEC 27001 nebo SOC 2 Type II? Vyžádejte si certifikát a ověřte jeho platnost a scope.
- [ ] Pokud nemá certifikaci: Provádí pravidelné interní nebo externí bezpečnostní audity? Kdy byl poslední, co zjistil a jak byly nalezy řešeny?
- [ ] Provádí dodavatel penetrační testy svých systémů? (minimálně ročně). Jste schopni vidět executive summary výsledků?
- [ ] Jak jsou spravovány přístupy zaměstnanců dodavatele k vašim systémům nebo datům?
- [ ] Je povinné MFA pro přístupy k vašim prostředím?
- [ ] Jak rychle jsou odebrány přístupy při odchodu zaměstnance dodavatele?
- [ ] Jsou přístupy dodavatele omezeny na minimální nezbytné oprávnění?
- [ ] Jsou přístupy dodavatele logovány a auditovány?
- [ ] Jaká je smluvní lhůta dodavatele pro nahlášení bezpečnostního incidentu, který se týká vašich dat nebo systémů? (Požadujte maximálně 24–48 hodin)
- [ ] Má dodavatel zdokumentovaný incident response plán?
- [ ] Na koho konkrétně se obrátit při incidentu? (jméno, telefon, e-mail, ne jen obecná adresa)
- [ ] Jaké jsou garantované SLA pro dostupnost služby? (uptime, RTO, RPO)
- [ ] Kde jsou zálohy uloženy a jak jsou chráněny?
- [ ] Existuje plán kontinuity činností (BCP)? Byl testován?
- [ ] Má dodavatel pojištění pro případ kybernetického incidentu?
- [ ] Kteří sub-dodavatelé mají přístup k vašim datům nebo systémům?
- [ ] Vztahují se na sub-dodavatele stejné bezpečnostní požadavky jako na dodavatele?
- [ ] Informuje vás dodavatel o změnách v sub-dodavatelském řetězci?
Pro Kategorii B (důležití dodavatelé)
Zkrácená verze s klíčovými body:
- [ ] ISO 27001 nebo SOC 2 certifikace, nebo bezpečnostní politika/přehled bezpečnostních opatření
- [ ] DPA (smlouva o zpracování osobních údajů), pokud zpracovává osobní data
- [ ] Lhůta pro notifikaci incidentu smluvně ukotvena
- [ ] Přehled sub-zpracovatelů (pro GDPR účely)
- [ ] Kontakt pro bezpečnostní záležitosti
Pro Kategorii C (standardní dodavatelé)
- [ ] Pokud zpracovává jakákoliv osobní data: DPA
GDPR rozměr: DPA je povinná, ne volitelná
Každý dodavatel, který zpracovává osobní data vaším jménem, je ze zákona váš **zpracovatel** (data processor). Článek 28 GDPR vyžaduje, aby byl vztah smluvně ošetřen formou **Smlouvy o zpracování osobních údajů (DPA)**.
**Co musí DPA obsahovat (Čl. 28 GDPR):**
**Mezinárodní přenosy:** Pokud má dodavatel servery mimo EU/EEA (zejména USA, Indie, Asie), potřebujete navíc právní základ pro přenos dat — standardně standardní smluvní doložky (SCC). U velkých amerických cloudových providerů (AWS, Google, Microsoft) jsou SCC součástí jejich DPA — ale ověřte, že jsou podepsány.
- Předmět, povahu, účel a dobu zpracování
- Typy osobních dat a kategorie subjektů
- Povinnosti zpracovatele (mlčenlivost, bezpečnost, pomoc správci)
- Pravidla pro zapojení sub-zpracovatelů
- Postup při ukončení zpracování (mazání nebo vrácení dat)
- Právo správce na audit zpracovatele
Vendor risk registr: jak to dokumentovat
Nestačí si odpovědi uložit do e-mailu nebo je mít jen v hlavě. Veďte **vendor risk registr** — strukturovanou evidenci bezpečnostního stavu vašich dodavatelů.
Minimální obsah registru (tabulka)
**Certifikáty, DPA a další dokumenty** ukládejte jako přílohy nebo do sdíleného úložiště s odkazem v registru.
- Pole: Název dodavatele | Popis: Oficiální název firmy
- Pole: Kategorie | Popis: A / B / C
- Pole: Popis poskytované služby | Popis: Co přesně dodává a k čemu má přístup
- Pole: Kontakt pro bezpečnostní záležitosti | Popis: Jméno, e-mail, telefon
- Pole: Zpracovává osobní data? | Popis: Ano / Ne
- Pole: DPA uzavřena? | Popis: Ano / Ne / Datum
- Pole: Certifikace | Popis: ISO 27001 / SOC 2 / Žádná / Datum platnosti
- Pole: Poslední bezpečnostní hodnocení | Popis: Datum
- Pole: Výsledek hodnocení | Popis: Bez nálezu / Nalezy vyřešeny / Otevřené nalezy
- Pole: Datum příštího přezkumu | Popis: Datum
- Pole: Umístění dat | Popis: EU / Mimo EU / Cloud + region
- Pole: Poznámky / rizika | Popis: Volný text
Bezpečnostní požadavky ve smlouvě
Nestačí dodavatele prověřit — bezpečnostní požadavky musejí být součástí smlouvy nebo jejího dodatku. Bez smluvního ukotvení nemáte právní páku, pokud dodavatel selže.
**Minimální smluvní klauzule pro Kategorii A:**
``` Dodavatel se zavazuje:
bezpečnostní audit; kopii certifikátu nebo výsledky auditu poskytne Zákazníkovi na vyžádání do 10 pracovních dnů.
který se týká systémů, dat nebo přístupů Zákazníka, a to do 24 hodin od zjištění incidentu, a to e-mailem na adresu [security@vasefirma.cz].
s přístupem k datům nebo systémům Zákazníka a informovat o jakékoli změně v tomto řetězci s předstihem minimálně 30 dnů.
bezpečnostní audit Dodavatele, s oznámením minimálně 14 dní předem, maximálně jednou ročně.
Zákazníka do 30 dnů; o provedení zaslat písemné potvrzení. ```
- 1. Udržovat certifikaci ISO/IEC 27001 nebo provádět každoroční
- 2. Informovat Zákazníka o jakémkoli bezpečnostním incidentu,
- 3. Na vyžádání poskytnout Zákazníkovi přehled sub-dodavatelů
- 4. Umožnit Zákazníkovi nebo jím pověřené třetí straně provést
- 5. Po ukončení smlouvy smazat nebo vrátit veškerá data
Co dělat, když dodavatel nesplňuje požadavky
Tři realistické možnosti:
Možnost 1: Akceptovat riziko s kompenzujícím opatřením
Vhodné pro: menší dodavatel v Kategorii B, kde není certifikace reálně dosažitelná.
Postup:
- 1. Zdokumentujte, jaké bezpečnostní opatření na vaší straně riziko snižuje (šifrování dat před předáním, omezení přístupu, monitoring)
- 2. Schvalte akceptaci rizika vedením firmy (podpis)
- 3. Nastavte datum přezkumu (nejpozději za 12 měsíců)
Možnost 2: Vyžádat si plán nápravy
Vhodné pro: dodavatel je ochoten situaci řešit, ale potřebuje čas.
Postup:
- 1. Definujte konkrétní požadavky a termín splnění
- 2. Uzavřete písemný závazek dodavatele (e-mail nebo dodatek ke smlouvě)
- 3. Nastavte kontrolní bod pro ověření splnění
Možnost 3: Nahradit dodavatele
Vhodné pro: dodavatel není ochoten bezpečnostní požadavky plnit, nebo riziko je příliš vysoké.
Toto je legitimní a v krajním případě nutný krok. Dokumentujte důvody rozhodnutí — v případě budoucí kontroly nebo incidentu dokazuje, že jste due diligence provedli a na riziko reagovali.
Jak provádět pravidelné přezkumy
Vendor risk není jednorázová akce. Nastavte si:
**Roční přezkum všech Kategorie A dodavatelů:**
**Přezkum při každé změně:**
**Přezkum při onboardingu nového dodavatele:**
- Ověřte platnost certifikací (certifikát mohl expirovat)
- Zkontrolujte, zda se změnil scope jejich služby nebo sub-dodavatelé
- Projděte jakékoli incidenty, které u dodavatele nastaly za poslední rok
- Dodavatel hlásí bezpečnostní incident
- Dodavatel mění sub-dodavatele s přístupem k vašim datům
- Měníte rozsah nebo povahu spolupráce s dodavatelem
- Dodavatel mění lokaci uložení dat (zejména přesun mimo EU)
- Proveďte hodnocení ještě před podpisem smlouvy — ne po něm
TL;DR
- Kategorizujte dodavatele: Kritičtí (A) → Důležití (B) → Standardní (C). Hloubku prověřování přizpůsobte kategorii.
- Pro Kategorii A: certifikace nebo audit, správa přístupů, notifikační lhůta do 24–48 hod, plán kontinuity, přehled sub-dodavatelů.
- DPA je zákonná povinnost pro každého dodavatele, který zpracovává osobní data — bez výjimky.
- Bezpečnostní požadavky patří do smlouvy — ne jen do interních dokumentů.
- Veďte vendor risk registr a přezkumejte ho minimálně ročně a při každé změně.
- Pokud dodavatel nesplňuje požadavky: akceptujte s kompenzací, vyžádejte nápravu, nebo ho nahraďte. Vždy dokumentujte rozhodnutí.
Související přehled předpisu
Otevřít přehled: NIS2 / ZoKB →Splňte požadavky bez zbytečné byrokracie
Splnit.eu automatizuje compliance pro NIS2, GDPR, ISO 27001 a EU AI Act. Sledujte svůj stav v reálném čase.
Začít zdarma